Группа Нео-мстителей; вирус RCE-1277 (Murphy - Мерфи)
🕛 01.03.2009, 11:46
Поскольку исходный текст вируса RCE-1800 распространялся в Болгарии достаточно широко, неудивительно, что появились вирусы, основанные на использовании кода RCE-1800. Мы рассмотрим лишь один пример вирусов данной группы, которую можно назвать нео-мстителями, - вирус RCE-1277. В коде этого вируса заметен плагиат из RCE-1800, причем без достаточного понимания функций копируемых фрагментов.Неформальное название вируса RCE-1277 связано с тем, что в теле вируса содержатся достаточно длинные текстовые строки:
Hello, I'm Murphy. Nice to meet you friend. I'm written since Nov/Dec. Copywrite (c)1989 by Lubo & Ian, Sofia, USM Laboratory.
Формально вирус RCE-1277 - файловый резидентный вирус, поражающий как файлы типа СОМ, так и файлы типа EXE. Заражение происходит как при запуске программ на выполнение, так и при открытии файлов (21h-3Вh, 21h-4Bh, 21h-6Ch). Вирус дописывает свое тело в конец файла.
Вирус RCE-1277 заражает командный процессор, если он не имеет атрибута READ ONLY. Пораженный COMMAND.COM имеет размер 27107 байтов (если его первоначальный размер был 25307 байтов). Механизм заражения идентичен использованному в вирусе RCE-1800.
Файлы, имеющие атрибут READ ONLY, вирус не заражает. Проверка номера версии в теле вируса не выполняется. Тип файла определяется вирусом правильно, независимо от используемого расширения. Зараженные COM-файлы увеличиваются в размере на 1277 байтов, причем дата их создания и атрибуты остаются неизменными. Заражение выполняется однократно. При заражении вирус дописывает свое тело в конец файла, вставляя в первые три байта команду перехода на начало вируса. Выравнивание на границу параграфа для COM-файлов не выполняется. Инфицируются COM-файлы длиной свыше 1277 (6Fh) байтов. Заражение EXE-файлов выполняется путем дописывания тела вируса в конец файла без предварительного выравнивания тела на границу параграфа.
При выполнении зараженной программы вирус проверяет наличие своей копии в памяти и, если не находит, то становится резидентным (используя манипуляции с MCB).
Фаза проявления состоит в том, что с 10 до 11 час в динамике начинает раздаваться довольно неприятный высокочастотный свист частотой около 12 кГц, причем интенсивность свиста пропорциональна частоте выдачи прерывания 21h в системе.
В целом вирус производит впечатление не до конца отлаженного. В частности, при попытке заражения защищенной от записи дискеты выдается стандартное сообщение "Abort, Retry...". Это связано с ошибкой в обработчике прерывания 24h.
Вирус работоспособен как на MS DOS 3.x, так на на версии 4.х, причем им используется функция 21-С600, реализованная только в версиях MS DOS, начиная с 4.0. Вирус неработоспособен на процессоре 8086 (8088).
Исторические сведения. Из зарубежных источников, попавших в СССР, первое описание данного вируса приведено, по-видимому, в списке П.Хоффман. Известны авторы этого болгарского вируса RCE-1277, которые якобы хотели таким способом "насолить" своему начальнику. В Болгарии начал распространяться с конца 1989 г. В Киеве первым вирус обнаружил А.Л.Шеховцов (июнь 1990 г.). Несколько позднее он был независимо выявлен в Москве. Первыми фагами для данного вируса были SOS Е.Н.Сусликова и NeaFag В.В.Пономаренко.
Неформальные названия. Помимо приведенного в заголовке, неизвестны.
Методы и средства защиты. Детектирование несложно. Зараженность программы видна при визуальном просмотре дампа. Для входного контроля можно использовать рекомендуемые в прил.1 фаги или полидетектор Scan (версии 77 и более поздние).
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1277
000: E9FD079090909090 9090909090909090 .
010: 9090909090909090 9090909090909090 .
*** последующие строки идентичны предыдущей ***
7F0: 090909090909090 9090909090909090 . +- псевдоначало инсталлятора (первый переход) +-+
800:|E97E039090909090 9090909090909090 .~..
810: 9090909090909090 9090900000000060 ...`
820: 00F1042100000004 00050EC32B5605E3 ...!..+V..
830: 287A0F70007A0F70 002048656C6C6F2C (z.p.z.p. Hello,
840: 2049276D204D7572 7068792E204E6963 I'm Murphy. Nic
850: 6520746F206D6565 7420796F75206672 e to meet you fr
860: 69656E642E204927 6D20777269747465 iend. I'm writte
870: 6E2073696E636520 4E6F762F4465632E n since Nov/Dec.
880: 20436F7079777269 7465202863293139 Copywrite (c)19
890: 3839206279204C75 626F20262049616E 89 by Lubo & Ian
8A0: 2C20536F6669612C 2055534D204C6162 , Sofia, USM Lab
8B0: 6F7261746F72792E 20E88F023D594B75 oratory. ...=YKu
8C0: 09558BEC836606FE 5DCF80FC4B74123D .U...f..]...Kt.=
8D0: 003D740D3D006C75 0580FB007403E9A5 .=t.=.lu.t...
8E0: 00061E5756555251 5350E8C9013D006C ...WVURQSP...=.l
8F0: 75028BD6B980008B F2468A040AC0E0F9 u..F...
... .. .. .. .. .. .. .. .. . . . . . . . .
+- J-сигнатура -+ | |
B80: C31EE80000B8594B CD217203E928015E| ...YK.!r..(.^
B90: 568BFE33C0501FC4 064C002E8984ACFC V..3.P...L...
BA0: 2E8C84AEFCC41E84 002E899DA4FC2E8C .
BB0: 85A6FCA102013D00 F07569B280A10601 ...=..ui..
BC0: 3D00F0741C80FCC8 725A80FCF47355A8 =..t.rZ...sU.
BD0: 7F75518ED8813E00 0055AA75478A1602 .uQ...>..U.uG...
... .. .. .. .. .. .. .. .. . . . . . . . .
CB0: 8600FBFE0E7B045E 2E81BC7EFC4D5A75 ..{.^...~.MZu
CC0: 1D1F2E8B849AFC2E 8B9C98FC0E592BC8 .Y+.
CD0: 03CB512EFFB496FC 1E07E895FECB582E ..Q..X.
CE0: 8B847EFC2EA30001 2E8B8480FC2EA302 ..~.
CF0: 01B80001500E1F1E 07E876FEC3 .P..v..